Quantità di operazioni semplici che sono al sicuro fuori dalla portata di tutta l'umanità?

165

I primitivi crittografici di solito danno un certo livello di sicurezza dato come numero di operazioni per montare un attacco. Le funzioni di hash, ad esempio, offrono diversi livelli di sicurezza per gli attacchi di collisione, gli attacchi di pre-avvistamento e i secondi attacchi di pre-immagine. Da questi, le dimensioni delle chiavi "sicure" sono derivate per diverse primitive.

Esistono molte raccomandazioni diverse per dimensioni di chiavi sicure e molti metodi diversi per stimare le capacità future nell'esecuzione del calcolo. Ad esempio, www.keylength.com ha un sacco di questi consigli combinati.

Quello che sto cercando, tuttavia, è la quantità di semplici operazioni che possono essere ovviamente considerate fuori dalla portata di tutta l'umanità per il futuro prevedibile - o in realtà, il più basso di tale valore che sia ancora credibile.

È ovvio che 2 ^ 256 semplici operazioni sono qualcosa che non sarà mai raggiunto. È anche ovvio che è possibile raggiungere 2 ^ 64 semplici operazioni come già è stato. Molte delle raccomandazioni sembrano calcolare 2 ^ 128 come un numero che sarebbe sicuro per 30 anni o più. Quindi il valore che sto cercando è probabilmente tra 2 ^ 128 e 2 ^ 256. Sono che indovina 2 ^ 160 o 2 ^ 192 potrebbe essere al sicuro fuori dalla portata.

Ma voglio argomenti concreti su cui ragionare facilmente. Mi piacerebbe vedere argomenti basati su semplici leggi della fisica o relazioni con costanti concrete sull'universo. Ad esempio, potrebbe essere utilizzato principio di Landauer .

Nota: le semplici operazioni effettive utilizzate non sono rilevanti qui - potrebbero essere operazioni su un computer quantico, o invocazioni di hash, o qualsiasi altra cosa.

    
posta Nakedible 11.08.2011 - 19:35
fonte

4 risposte

277

Come punto di partenza, considereremo che ogni operazione elementare implica una spesa minima di energia; Il principio di Landauer imposta tale limite a 0,0178 eV, che è 2,85 × 10 -21 J D'altra parte, la massa totale del sistema solare, se convertita nella sua totalità in energia, produrrebbe circa 1,8 × 10 47 J (in realtà è ciò che otterresti dalla massa del Sole , secondo questa pagina , ma il Sole prende la parte del leone della massa totale del sistema solare) . Ciò implica un limite rigido di circa 6,32 × 10 68 calcoli elementari, che è di circa 2 225.2 . (Penso che questo calcolo sia già stato presentato da Schneier in "Applied Cryptography".)

Naturalmente questo è uno scenario abbastanza estremo e, in particolare, non abbiamo idea di come convertire la massa in energia: la fissione nucleare e la fusione convergono solo una piccola parte della massa disponibile per l'energia.

Diamo un'occhiata a una prospettiva più banale. Sembra giusto presumere che, con la tecnologia esistente, ogni operazione elementare debba in qualche modo implicare la commutazione di almeno una porta logica. La potenza di commutazione di un singolo CMOS gate riguarda C × V 2 dove C è la capacità del carico di gate e V è la tensione a cui opera il gate. A partire dal 2011, un gate di fascia alta sarà in grado di funzionare con una tensione di 0,5 V e una capacità di carico di pochi femtofarad ("femto" che significa 10 -15 ). Ciò comporta un consumo energetico minimo per operazione non inferiore a, diciamo, 10 -15 J. L'attuale consumo energetico mondiale totale è di circa 500 EJ (5 × 10 20 J) all'anno (o così dice questo articolo ). Supponendo che la produzione totale di energia della Terra venga deviata a un singolo calcolo per dieci anni, otteniamo un limite di 5 × 10 36 , che è vicino a 2 122 .

Quindi devi tener conto dei progressi tecnologici. Data la tendenza attuale a preoccupazioni ecologiche e il picco del petrolio , la produzione totale di energia non dovrebbe aumentare molto negli anni a venire ( dire non più di un fattore 2 fino all'anno 2040 - già l'incubo di un ecologista). D'altra parte, vi è un progresso tecnologico nella progettazione di circuiti integrati. La legge di Moore afferma che è possibile adattare il doppio dei transistori su una data superficie del chip ogni due anni. Una visione ottimistica molto è che questo raddoppiamento del numero di transistor può essere fatto a consumo energetico costante, il che si tradurrebbe in un dimezzamento del costo energetico di un'operazione elementare ogni due anni. Ciò porterebbe a un totale complessivo di 2 138 nell'anno 2040 - e questo è per un singolo calcolo di dieci anni che mobilita tutti le risorse dell'intero pianeta.

Quindi la solita saggezza di "128 bit sono più che sufficienti per i prossimi decenni" non è off (tutto dipende da ciò che considereresti "sicuro" fuori dalla portata, ma il mio livello di paranoia è abbastanza sereno con 128 bit "solo").

Una nota sui computer quantistici: un QC può fare molto in una singola "operazione". La solita presentazione è che il CQ esegue "più calcoli simultaneamente, che filtriamo alla fine". Questa affermazione è errata in molti particolari, ma contiene ancora un po 'di verità: un CQ dovrebbe essere in grado di attaccare la crittografia simmetrica n (ad esempio la crittografia simmetrica con n -bit chiave) in 2 n / 2 operazioni quantistiche elementari. Da qui il classico trucco: per rendere conto dei computer quantistici (se mai esistono), raddoppia la lunghezza della chiave. Quindi AES con una chiave a 256-bit, SHA-512 ... (la chiave a 256-bit di AES non è stata progettata per proteggere da ipotetici computer quantistici, ma è così che le chiavi a 256-bit vengono giustificate oggigiorno).

    
risposta data 11.08.2011 - 21:08
fonte
28

Note: the actual simple operations used are not relevant here - they might be operations on a quantum computer, or hash invocations, or whatever.

Bene, un computer quantistico è la ragione per cui nessuno può dirti "la quantità di semplici operazioni che possono essere ovviamente considerate fuori dalla portata di tutta l'umanità per il prossimo futuro". Per definizione un computer quantistico esegue l'opposto di "effettive semplici operazioni"; consente di bypassare una parte considerevole dello spazio della "semplice operazione" attraverso il gioco di prestigio quantistico. Una volta che il computer che aggira porzioni di questo spazio operativo semplice esiste, allora la tua domanda su "quanto grande deve essere lo spazio" diventa imprevedibilmente irrilevante.

Questa è la teoria, comunque. Non abbiamo raggiunto il livello del futuro in cui i computer quantistici possono fare ciò che pensiamo dovrebbero essere in grado di fare. Anche se mi sento a mio agio nel dire che un computer quantistico simile esiste e non esiste in una scatola da qualche parte.

    
risposta data 11.08.2011 - 20:38
fonte
7

Una cosa recente da aggiungere qui che probabilmente è pertinente alla domanda è che il Principio di Landauer potrebbe non reggere:

link

They measured the amount of energy dissipated during the operation of an "OR" gate (that is clearly a logically irreversible gate) and showed that the logic operation can be performed with an energy toll as small as 5 percent of the expected limit of kBT ln2. The conclusion of the Nature Communications article is that there is no fundamental limit and reversible logic is not required to operate computers with zero energy expenditure.

Why did it take so long to discover this? Partly because the experiment had to achieve exceptional sensitivity in order to show that the Landauer limit could be beaten: more than 10 to 21 Joule, where 1 Joule is the energy that it takes to raise an apple one meter above the ground. This is a very small amount of energy.

    
risposta data 27.07.2016 - 10:20
fonte
5

Anche se mi piace molto la risposta di @ thomas-pornin, penso che ci sia un problema con il primo assunto che deve essere richiamato.

Il principio di Laundauer si applica solo alle operazioni irreversibili.

Contrariamente a quanto si può ipotizzare, il calcolo reversibile è già realizzabile. Le operazioni sono comuni nei computer quantistici e nei sistemi di crittografia omomorfica.

Più in particolare, un algoritmo hash può utilizzare un'operazione come XOR per mescolare due bit e distruggere le informazioni su cui era 1 e che era 0, ma un CNOT (wiki) come in un Fredkin Gate è un equivalente reversibile che produce il risultato XOR e un bit di controllo distintivo. Se tali dati vengono conservati, l'operazione può essere annullata, liberamente. Se invece viene distrutto lasciando solo lo XOR, si applica il Principio di Landauer.

Come altri hanno indicato, il calcolo quantico sta cambiando le cose, ma è perché usa i gate CNOT invece di XOR con i qubit, lasciando i bit di controllo intorno per preservare lo stato di sovrapposizione quantica ed eseguire l'operazione senza spendere il costo di Landauer per distruggerlo .

Di conseguenza, se gli stati di output sono compressi, i bit dell'hash (ad esempio) distrutti, con un costo energetico, per abbinare l'output noto, non è necessario alcun costo aggiuntivo per calcolare l'input, oltre a verificare il valore di ciascun bit.

In minima parte, ciò dovrebbe richiedere almeno la quantità di bit nell'hash e almeno il numero di bit nei dati di input. Per un determinato algoritmo di hash, il calcolo del digest per un blocco può richiedere molte più operazioni XOR / CNOT rispetto ai dati stessi, questi dovrebbero essere tutti aggiunti.

Per un SHA-256 (wiki) di 1 Gigabit, That's 256 bit dell'hash output, 1 Gigabit di input, e 16 e / add / xor operazioni su ciascuna parte a 32 bit del blocco da 512 bit, più 8 ulteriori 32 bit per piegare il valore corrente; o 33Kbits.

Se hai ~ 2Terabit di archiviazione dati in qubit e il ~ 10 -15 J per bit per impostare il problema e interrogare lo stato, puoi invertire l'hash.

Bene, non del tutto inverso. Puoi trovare il set di tutti gli input da 1 gigabit che producono quell'hash di output e iniziare a spendere più per bit per sceglierne uno.

A seconda delle esigenze di sicurezza, una collisione potrebbe essere sufficiente.

(EDIT) Recentemente, i ricercatori hanno pubblicato un'operazione primitiva non reversibile che richiede meno del limite citato, implicando errore nei calcoli originali.

    
risposta data 15.07.2016 - 19:13
fonte

Leggi altre domande sui tag